Une vulnérabilité critique de type “zero-day” dans le logiciel populaire de compression de fichiers WinRAR a été activement exploitée par deux groupes de cybercriminels russes. Ces groupes ont utilisé cette faille pour déployer des portes dérobées sur des ordinateurs qui ouvrent des fichiers d’archives malveillants joints à des courriels de phishing, certains étant spécifiquement adaptés à leurs cibles.
Les attaques ont été identifiées pour la première fois à la mi-juillet, lorsqu’un comportement de fichier inhabituel a été détecté, menant à la découverte d’une vulnérabilité inconnue dans WinRAR. Ce logiciel, qui compte environ 500 millions d’utilisateurs, a été rapidement corrigé six jours après que la vulnérabilité a été signalée à ses développeurs.
L’exploitation tire parti d’une fonctionnalité de Windows connue sous le nom de flux de données alternatifs pour déclencher une faille de traversée de répertoire jusqu’alors inconnue. Cela permet aux attaquants d’installer des exécutables malveillants dans des répertoires système sensibles, généralement protégés contre l’exécution de code non autorisé.
Le groupe de cybercriminalité RomCom, connu pour ses opérations sophistiquées et basé en Russie, a été identifié comme l’un des auteurs de ces attaques. Ce n’est pas la première fois que RomCom utilise une vulnérabilité de type “zero-day”, soulignant son intérêt pour l’acquisition et l’utilisation d’exploits pour des attaques ciblées. La vulnérabilité en question a été cataloguée sous le code CVE-2025-8088.
Il est intéressant de noter que RomCom n’est pas seul à exploiter cette faille. Un autre groupe russe, suivi sous les noms de Paper Werewolf ou GOFFEE, a également exploité la même vulnérabilité. De plus, ce groupe a exploité une autre vulnérabilité de haute sévérité de WinRAR, CVE-2025-6218, qui avait été corrigée quelques semaines avant que le problème actuel ne soit résolu.
